國內四大UEBA解決方案
責編:gltian |2019-07-05 10:48:19UEBA(用戶及實體行為分析)作為目前異常發現的重要分析技術,無論是用戶整體 IT 環境的態勢感知(和 SIEM 融合,或在 SOC 中),還是結合數據防泄漏 (DLP) 等內部人員安全方案進行更精準的異常定位,都是不可或缺的一項重要能力。
UEBA 并不是最新穎的技術理念。Gartner 在 2016 年安全與風險管理峰會上,就已經將其作為當年十大信息安全技術。但是,國內主流安全廠商,對UEBA的理解,以及具體落實到產品方案,可以明顯感覺到各有各自的理解和特點。
6月28日,安全牛聯合瀚思、啟明星辰、白山云科技(以下簡稱 “白山”)、觀安信息,以及行業安全專家、甲方信息(安全)建設負責人等,針對以上四家應用 UEBA 技術的相關方案,進行了一次閉門探討。
此次閉門研討會的重點,更多在于結合實際安全建設經驗和具體方案,雙向辯析對 UEBA 的理解、適用場景與落地難點,并提出下一步建議。而且從產品方案層面,這四家各具特色的方案也有對比、分享的價值。基于此,此篇文章,將四家的 UEBA 方案的核心內容,整理如下。
一、瀚思——內部安全
特點:更針對 Users(用戶),聚焦企業內部異常行為發現從而消除大量高危風險,實際案例中重視多維數據結合的價值。
1. 方案價值
瀚思認為,目前 UEBA 技術的應用,更多的還是要關注人的行為,特別是企業內部的員工,作為異常行為和發生數據泄漏的主體。并作為線索或預警,再結合審計、溯源等手段,定位到人。
對于將應用場景側重在企業內部,瀚思技術總監黃亮的解釋是,企業內部的管理相對規范,訪問行為更加有跡可循。瀚思的 “內部安全” 方案,重要的價值,在于結合其他技術手段和數據,可以更為精準的發現員工的異常行為,降低漏報和誤報。
2. 方案內容
UEBA 對異于標準基線的可疑活動進一步分析,從而可以幫助發現潛在威脅,在企業中最常見的應用是檢測惡意內部人員和外部滲透攻擊者。
——Gartner
由于 UEBA 類技術用于解決以人、資產、數據為維度的內部安全安全類場景。此類場景往往攻擊行為不明顯,無成型的方法論,也無顯著的規律可以遵循。此外,UEBA 所支持的場景都有長、低、慢,即所謂低頻長周期的特征,場景支持的復雜性、分析數據的多維度等特性,均對UEBA類產品的關鍵技術支撐提出了高要求。
“內部安全” 方案對于企業的價值,瀚思認為存在三個階段:第一個是客觀采集人員訪問行為,從審計的角度進行統計、展示;第二是結合用戶角色和行為特征,進行內部用戶行為畫像;第三是結合具體場景,通過算法集合、規則、特征等進行多維度的異常行為監控與風險預警。
具體效果以及所處階段,和客戶自身的安全建設成熟度有關。
此外,黃亮認為,有效的UEBA方案,不應過分強調算法,要看具體的應用場景。基線、黑/白名單、特征各有各的適用和限制。
3. 參考案例
案例方面,瀚思強調了三點:一是通過賬號 “風險分數” 而不是告警的方式,告知運維人員關注異常賬戶,并作出響應;二是結合企業原有安全能力,如 DLP,可以實現更準確的檢測效果,和更靈活的處置;三是根據客戶情況,可以先通過咨詢、人工溯源等手段,找到基線后,更針對性的制定安全策略。
1) 內部員工竊取敏感數據
某大型地產用戶,企業內部員工數量過萬,有部署大廠的 DLP 方案,但因為告警過多,效果并不太理想。
2018 年瀚思部署了自己的 UEBA 產品以及 NTA 產品,并結合原有 DLP 產生的相關數據,逐步建立了面向敏感數據異常訪問監控的分析模型。
UEBA 在運行 2 個月后,實時觸發了 “高權限用戶行為異常” 監控模型,平臺顯示重大風險預警。通過 DLP 日志和流量分析導致賬號異常的具體行為,發現內部高權限賬號10月22號拷貝自己簡歷,10月23號凌晨1點大量拷貝這個工作目錄下的合作項目材料,涉及財務報表、項目管理月報、資產負載表等累計 540 份。
2) 第三方人員篡改數據庫
某全球知名外企,2019 年 5 月份瀚思 UEBA 模塊監測到數據庫中有異常執行的數據庫查詢操作。經過進一步溯源分析數據庫、堡壘機日志,成功鎖定了相關人員的賬號。
此賬號利用一定防偵察的手段(命令不直接輸入,而使用 Ctrl+C, Ctrl+V, 避免被檢測),未觸發安全設備告警,目的是篡改/竊取數據庫重要信息。
瀚思 UEBA 產品自動判定其行為偏離了基線,結合訪問目標的重要級別判定為重大風險,將此賬號的風險指數進行了大幅的提升并發布預警。風險指數的異常變化使得此賬號在第一時間進入了安全監控人員的視野,快速定位并阻斷了違法行為。
4. 部署
與 SIEM/態勢感知平臺進行結合,將其采集到的行為類數據,應用系統日志、人員/權限數據導入 UEBA 分析引擎中進行實時處理。
5. 客戶群
具有大量員工的大中型企業;擁有大量高價值敏感數據;“內部安全” 相關的管理手段落實困難,經常出現賬號共享、數據篡改、信息泄露等安全問題。
綜合評價
將 UEBA 的應用聚焦針對企業內部員工的異常行為,發現 “異常的人、人的異常”,看似過于具體、簡單,但在實際技術能力與方案落地方面,顯然更容易,更具實用性。對企業其它安全能力,例如身份體系,較為依賴。
二、啟明星辰——智能安全分析框架
特點概括:面向四個典型場景,在大數據安全分析平臺之上,以分析引擎插裝的方式,將基于 UEBA 的分析能力內嵌其中。
1. 方案價值
同時聚集用戶和實體對象的行為,在整體平臺框架下,面向不同場景,使用不同的數據和檢測分析能力。所以可以理解為,UEBA 是大數據安全分析平臺的一個關鍵能力,或一個重要的分析引擎,而不是方案的整體。
相較于上文介紹的兩個方案,啟明星辰的大數據安全分析平臺顯然通用性更強。
此外,據啟明星辰大數據安全實驗室經理侯廣訓介紹,綜合分析平臺的重要價值還在于可以對更多事件進行關聯分析。
一個成熟的平臺,可以保證在用戶的超大數據集現場穩定運行。通過數據的接入、過濾標注等處理,再饋送到運行在平臺上的分析引擎根據不同場景、需求進行檢測分析,最后通過可視化對用戶做呈現。UEBA 只是一方面,惡意域名、橫向移動等,都要在這個平臺上做。但 UEBA 又是一個重要能力,因為 UEBA 是基于行為,針對用戶和設備,而不是 IP 的。
2. 方案內容
這里著重介紹一下啟明星辰基于 UEBA 能力,要應對的四個主要威脅場景:
1) 內部威脅
包括人員的可疑行為和失陷主機的發現。人員的可疑行為由分為對內和對外。
對內:刻意數據收集、異常與違規訪問、賬號濫用等。
對外:數據滲漏、持續數據外傳,異常網站訪問等。
失陷主機:內網探測呼與橫向移動、數據收集、暴力破解、加密文件、惡意/可疑 C&C 外連、數據外傳、掃描或發動 DDoS 等。
企業內部的威脅場景,因為多數企業動態分配 IP 的情況,UEBA 可以更好的幫助將異常行為追溯到具體設備和人員/賬號。
2) 自適應安全訪問
目的在于擋住壞人,并讓好人的訪問可以正常進行。Gartner 的 CARTA 體系,包括自適應的攻擊防護和訪問保護。利用 UEBA 技術,可以實現用戶可信評價、終端環境風險評價、應用訪問風險評價以及應用 API 風險評價,提供不同風險評價結果。基于這些風評結果,企業可以在訪問/接入控制、API 網關等處進行動態的安全策略調整,實現自適應的安全訪問。
3) 移動app業務風險感知
將來自終端(指紋、位置等信息)、app 狀態、用戶行為(app登錄等)、app 服務器(地理范圍限制等)的信息,匯聚到上層的分析引擎。這部分數據獲取,也會和相關廠商進行合作。
4) 應用日志分析與審計
針對企業的關鍵應用,通過定義用戶和行為的屬性,以及個群對比,來對應用日志進行分析和審計,找出異常登陸和操作(比如跨地域、跨部門、異常配置等)。目前審計預設的違規策略相對滯后,所以需要利用 UEBA 快速的迭代審計基線。
3. 參考案例
某省煙草局客戶部署了種類較多的內網及邊界安全設備,但是每種設備只能解決一類問題,同時存在被繞過,安全事件無法追溯到人等問題。啟明星辰 UEBA 收集終端、網絡流、AD 日志信息,實現將用戶、實體、異常行為相關聯綁定,通過規則引擎及機器學習引擎分析,發現諸如數據泄露、賬號濫用等內部違規行為,最終提升追溯、響應處置的效果。
4. 部署
旁路部署到網絡中,通過數據鏡像的方式收集網絡流量及非結構化日志(人員信息、設備信息、AD 日志、VPN 日志等),針對不同的網絡規模,可選擇一體機或分布式部署。
5. 客戶群
- 關注內部威脅的企業或機構;
- 關注業務訪問安全、需要動態評估客戶可信度的企業或機構;
- 關注移動APP業務風險感知的企業或機構。
綜合評價
可以明顯感受到,啟明星辰要將 UEBA 作為大數據安全分析平臺中的一個面向用戶和實體異常行為的分析能力組件,而不是平臺整體的核心能力。根據相應場景,客戶可以具體選擇所需數據和分析模型,分別形成面向內部威脅的UEBA產品,面向自適應安全訪問的 UEBA 產品等等。
三、白山——深度威脅識別
特點概括:從用戶視角而不是網絡流量視角,基于 “六元組” 用戶行為模型,結合多種無監督學習和半監督學習算法,從更多維度(如頻域)挖掘異常行為。
1. 方案價值
白山的深度威脅識別 (ATD,Advanced Threat Detection) 方案的重要價值在于,從傳統依賴威脅情報、基于規則、異常流量特征的方案現狀,通過 AI 算法的引入和應用,對用戶行為的描述,過渡到從用戶角度出發,關注行為和場景特點,能夠應對來自企業內部和外部業務安全風險的綜合威脅感知能力。
白山技術中心 ATD 產品負責人叢磊表示,企業對網絡流量從安全角度進行標注的成本太大,如果只依賴威脅情報,針對性不強,同時往往容易產生誤判。所以白山 ATD 方案核心機制的選擇是AI算法。
但目前,AI 在安全的落地仍有難點,主要包括:
大量樣本的標注成本高,甚至在某些場景下是不現實的;
場景多樣化,同樣行為不同場景有不同性質定義;
不同于規則,AI算法的可解釋性差,其中尤其是深度學習算法,對樣本的依賴性也最強。
所以在算法方面,白山的平衡,是主要采用無監督學習算法,用于安全分析和檢測。對于難以覆蓋的場景,則使用半監督學習來補足。
2. 方案內容
首先,對用戶行為的描述——行為建模。白山認為,這也是 UEBA 的核心。
白山提出的六元組行為模型,是從六個維度來描述用戶的行為。這些維度有:時間、地點、人/ID、作用域、動作和結果。
ATD 方案的原理類似 SIEM,通過收集日志、流量等數據,基于行為,結合 AI 算法,進行分析,發現異常。
作為 ATD 方案的核心,白山在 AI 算法的應用上,主要有下面四種:
- 無監督——聚類分析
1)基于實時個群對比進行一場行為識別。異常用戶一般占少數,可以通過對大部分用戶的行為進行建模,找出少數的高危用戶,再匹配威脅或攻擊模型來確認。
2)針對多源低頻的攻擊行為特征,通過聚類將行為特征放大,并拉長分析的時間軸,往往可以找到攻擊團伙深層次的異常行為。
3)學習數據包括文本、路徑的歷史行為內在規律,構建概率模型,并通過集成學習分類算法,識別未知異常。
- 半監督——主動學習
4)引入半監督學習的主要目的,是覆蓋無監督學習無法涉及的場景,允許用戶通過有限的標注(比如對威脅發現的情況進行打分),將標注結果反饋到卷積神經網絡 (CNN) 幫助訓練少量的樣本以不斷修正和優化算法(而不是簡單的調整閾值),提升檢測模型的準確率。這種方法的突出價值在于,能夠學習到人無法描述的深層次特征。
3. 參考案例
叢磊介紹了三個典型案例,這里簡單描述:
1) 頻域/個群對比
在某電商平臺客戶實際使用中,ATD 發現攻擊者已經破解了簽名算法,并通過偽造的 useragent 不斷更換 userid 進行撞庫。但因為攻擊者具有合法簽名并采取了低訪問頻率的策略,所以傳統安全設備從這兩個角度無法發現異常。將訪問行為相關參數轉化到頻域觀察時發現,部分訪問有非“常人”的規律行為,進一步分析,我們最終確認為撞庫攻擊。
2) 長時間軸/個群對比
游戲行業最頭痛的是外掛問題,但外掛作為規模大、較為成熟的黑色產業鏈規避檢測也是做的比較全面的。在某游戲客戶服務過程中,ATD 對訪問日志通過時間軸線行為建模分析 24 小時行為走勢,分析其熵和時間軸方差,發現其中一些訪問行為與大部分用戶相比,熵和時間軸方差都較小,并且整體行為尤其是夜間行為不同于正常用戶。通過個群對比,向客戶反饋后發現了游戲外掛。
3) 多源低頻爬蟲/聚類
在某在線房產平臺,攻擊者其主要目的是爬取房屋評論信息,通過偽造 useragent,利用爬蟲程序使用多個 c 段 ip(數量超過200)實現多源低頻的爬取信息。ATD 通過從請求數、GET 請求數占比、HTML 請求占比標準差、平均請求發送字節數等角度,對比異常可能 “攻擊源” 和群體行為,確認攻擊源,以及為多源低頻團伙爬蟲。
4. 部署
ATD 方案支持私有化部署方式,支持日志和流量兩種接入數據方式。可只在內網運行,也可接外網流量。
5. 客戶群
有大量在線業務、以及通過 Web 端可訪問到高價值數據的企業,如航空、出行、房產、電商、招聘等,以及白山現有的流量分發客戶。
綜合評價
重視從用戶行為角度,根據場景不同,綜合利用多種AI算法進行建模分析。因為白山本身的流量分發業務,所以在流量側的分析能力上更具優勢。
四、觀安信息——數據泄漏行為分析
特點概括:關注數據泄漏行為和業務安全問題的發現,并重視前期的數據治理。
1. 方案價值
觀安的方案更重視數據,包括數據源的采集以及前期的數據治理。
數據治理則是靠近業務的第一步。這包括數據的分級分類、數據資產的發現以及數據安全的展示和查詢。
觀安的產品總監楊逸林認為,UEBA 應是大數據分析平臺的關鍵分析能力。但前提是,要有足夠的數據用于分析。所以,首先,就是要能夠獲得不限于網絡流量,堡壘機、VPN、數據庫審計、主機等設備日志,以及資產和用戶的屬性信息,這是十分必要的。此外,結合外部的威脅情報,也可以更有針對性的進行數據訓練。
此外,觀安的方案也不是應對內部威脅的,而是以數據泄漏行為為視角,囊括業務流程異常、業務接口的違規調用、以及圍繞數據庫的異常操作等行為,進行發現。
2. 方案內容
內容方面,觀安主要介紹了下面幾方面內容:
1) 數據資產發現
根據數據規則,主動掃描各數據庫、數據接口,并標識敏感數據的存儲、使用和分布情況。數據存儲后,通過重新定義敏感數據特征,對指定數據存儲位置進行掃描,實現敏感數據的自動發現與配置。
2) 數據訪問異常
三種方式:
通過檢測數據保中是否含有敏感數據的關鍵字段,做敏感數據發現。
通過UEBA建立行為基線,從行為角度做人機識別。
通過關聯分析,利用外部威脅情報,判斷異常的行為。
3) 業務流程異常
重要的是做關鍵業務識別,將業務流程中的操作對應為編碼序列。基于歷史數據,訓練序列異常的檢測模型。如果異常度低,同時滿足一定程度,既可以標識為關鍵業務。通過檢測用戶行為序列的異常度,判斷是否有違背關鍵業務的流程,找出異常。
4) 未知異常
在數據治理和關鍵業務梳理的基礎上,將業務數據和流量數據提取特征,再基于數據接口的調用日志,利用無監督模型計算賬戶的異常分值。
接口、關鍵業務、運維操作和數據庫的異常行為發現,是我們的核心能力。
3. 參考案例
觀安有大量在電信運營商的真實案例。
1) 以中國電信(某分公司)的案例為例
中國電信某分公司是省級分公司,是某省最大的基礎網絡運營商和綜合信息服務提供商。平臺、接口、應用、網絡和終端都流轉大量信息,但缺乏有效統一的日志審計能力。不僅難以對關鍵信息的數據泄漏進行監控,在數據泄漏發生后,也無法溯源、追責到人。觀安通過對業務風險的梳理,標準化對系統日志、安全數據的采集、處理和檢索工作,并通過平臺的 UEBA 分析引擎,以及異常業務流程的風險模型,對異常操作(如報表爬取、批量下載等)、賬號權限(賬號公用、未授權訪問等)進行識別,并輸出告警。
2) 利用 UEBA 發現業務異常(某客戶)
最為餐飲公司,某客戶目前正將傳統的餐飲業務轉移到線上,并高頻率、大額優惠的推出促銷活動,且移動端應用快速迭代,更新頻繁。某客戶面臨諸如批量注冊、活動欺詐、暴力破解、撞庫等諸多業務安全和賬號安全問題。基于此,觀安的方案是通過提供風控平臺、離線 UEBA 大數據分析引擎、以及指紋庫(包括覆蓋瀏覽器、移動端和小程序的設備唯一標識符,以及終端環境安全檢測),結合專家針對各業務場景制定的千余條風險評判規則和應對措施,通過多維度的數據分析,對薅羊毛行為、接口異常調用(特別是短信接口攻擊)、異常訂單等惡意行為進行檢測和管控。
4. 客戶群
運營商行業,以及如新零售、電商等對線上業務安全又較強需求的企業。
綜合評價
無論是基于 UEBA 的大數據分析,還是資產發現、數據治理、業務風控,都是自有產品,自成體系。重視數據防泄漏和反線上業務欺詐場景。